Panoramica sulla gestione dei fornitori
In che modo Microsoft gestisce i rischi correlati ai fornitori?
Microsoft collabora con aziende di terze parti per soddisfare le esigenze dei clienti. Queste società di terze parti sono denominate fornitori. La sicurezza e la privacy dei fornitori di Microsoft sono regolate dal programma SSPA (Supplier Security and Privacy Assurance), un set di requisiti a livello aziendale per tutti i fornitori che collaborano con Microsoft per fornire i nostri Servizi online. Anche se il programma SSPA offre governance e gestione complete della nostra base di fornitori, le singole business unit possono mantenere requisiti aggiuntivi per i fornitori.
In che modo il programma SSPA (Supplier Security and Privacy Assurance) di Microsoft protegge i dati dei clienti?
SSPA è una partnership tra Microsoft Procurement, Corporate External and Legal Affairs e Corporate Security per garantire che i fornitori rispettino i principi di privacy e sicurezza di Microsoft. L'ambito di SSPA copre tutti i fornitori che elaborano i dati personali o i dati riservati Microsoft. La registrazione del programma SSPA include la conformità ai requisiti di protezione dei dati (DPR) di Microsoft. La DPR è costituita da controlli di sicurezza e privacy che i fornitori devono implementare prima di iniziare a lavorare con Microsoft. Tutti i fornitori iscritti attestano la conformità alla DPR ogni anno.
L'ambito dei requisiti di DPR è basato su sei distinte categorie di elaborazione dati per cui un fornitore può essere approvato come parte della registrazione in SSPA. Queste categorie vengono usate per identificare il rischio associato ai servizi forniti da un fornitore a Microsoft. Il profilo di elaborazione dati del fornitore determina quali controlli DPR vengono considerati nell'ambito per fornire una protezione dei dati appropriata. I fornitori che elaborano dati considerati a rischio più elevato devono rispettare tutti i requisiti di DPR e potrebbero anche dover fornire una verifica indipendente della conformità. Gli strumenti di acquisto Microsoft convalidano lo stato SSPA di tutti i fornitori, inclusa la conformità alle parti applicabili della DPR, prima di consentire l'approvvigionamento di tale fornitore.
Quali tipi di subprocessori forniscono servizi per Microsoft?
Un "subprocessore" è una terza parte eseguita da Microsoft i cui compiti includono l'elaborazione dei dati personali Microsoft per cui Microsoft è responsabile del trattamento. I subprocessori microsoft rientrano in tre categorie. Ognuno deve dimostrare la conformità con SSPA prima di poter elaborare i dati dei clienti per conto di Microsoft.
- Subprocessori tecnologici che alimentano le tecnologie che sono perfettamente integrate con Microsoft Servizi online e in parte alimentano le funzioni cloud Microsoft. Se un cliente distribuisce uno di questi servizi, i subprocessori identificati per tale servizio possono elaborare, archiviare o accedere in altro modo ai dati dei clienti o ai dati personali, contribuendo al tempo stesso a fornire tale servizio.
- Subprocessori ausiliari che forniscono servizi per supportare, gestire e gestire Servizi online. In questi casi, i subprocessori identificati possono elaborare, archiviare o accedere in altro modo ai dati dei clienti e ai dati personali (costituiti da identificatori personali pseudonimi) fornendo al tempo stesso i propri servizi ausiliari.
- Le organizzazioni del personale a contratto forniscono al personale contrattuale che lavora fianco a fianco con i dipendenti Microsoft a tempo pieno per operare, distribuire e gestire i Servizi Online Microsoft. In tutti questi casi, i dati dei clienti o i dati personali si trovano solo nei sistemi Microsoft ed è soggetto a criteri e supervisione Microsoft.
Inoltre, le entità dell'infrastruttura del data center Microsoft forniscono l'infrastruttura del data center in cui vengono eseguiti i Servizi online Microsoft. I dati all'interno dei data center vengono crittografati e nessun personale all'interno dei data center può accederle.
La tecnologia e le terze parti ausiliarie sono necessarie per implementare i controlli di accesso in conformità ai requisiti di protezione dei dati (DPR) di Microsoft. Questi requisiti soddisfano o superano gli impegni contrattuali assunti da Microsoft nei confronti dei clienti nelle Condizioni per il prodotto. I fornitori che svolgono il lavoro del personale contrattuale sono soggetti agli stessi controlli di accesso per i dipendenti Microsoft a tempo pieno.
In che modo Microsoft esegue l'onboarding dei fornitori?
I fornitori di terze parti devono firmare un Contratto Master Microsoft come parte del processo di onboarding. Questo contratto regola la relazione tra Microsoft e i suoi fornitori e garantisce una gestione coerente delle relazioni con i fornitori. Nell'ambito dell'onboarding, i fornitori si iscrivano all'SSPA e devono completare tutti i requisiti applicabili prima che possano essere approvati per qualsiasi categoria di elaborazione dati. Le business unit Microsoft sono in grado di creare interazioni con i fornitori solo quando l'attività di elaborazione dei dati per l'engagement corrisponde alle categorie di elaborazione dati per cui il fornitore è stato approvato.
In che modo Microsoft notifica ai clienti le modifiche apportate ai fornitori che elaborano i dati?
In base al componente aggiuntivo per la protezione dei dati (DPA, Data Protection Addendum) di Prodotti e servizi Microsoft, Microsoft si impegna ulteriormente per quanto riguarda i periodi di preavviso per l'aggiunta di qualsiasi subprocessore. I tempi di preavviso dipendono dal tipo di dati che il subprocessore esetterà per conto di Microsoft. Come indicato nel DPA, Microsoft si impegna a fornire un avviso ai clienti con almeno sei mesi di anticipo su qualsiasi nuovo subprocessore che esegua i dati dei clienti. Per qualsiasi altro dato personale, Microsoft fornirà almeno 30 giorni di preavviso. L'avviso viene fornito dall'aggiornamento dell'elenco dei subprocessori di Microsoft Online Services.
Normative esterne correlate & certificazioni
I Servizi online Microsoft vengono controllati regolarmente per verificare la conformità alle normative e alle certificazioni esterne. Per la convalida dei controlli relativi alla gestione dei fornitori, vedere la tabella seguente.
Azure e Dynamics 365
Controlli esterni | Sezione | Data report più recente |
---|---|---|
ISO 27001 Dichiarazione di applicabilità Certificato |
A.15.1: Sicurezza delle informazioni nelle relazioni con i fornitori | 8 aprile 2024 |
ISO 27017 Dichiarazione di applicabilità Certificato |
A.15.1: Sicurezza delle informazioni nelle relazioni con i fornitori | 8 aprile 2024 |
ISO 27018 Dichiarazione di applicabilità Certificato |
A.8.1: Divulgazione dell'elaborazione di informazioni personali in conto lavoro | 8 aprile 2024 |
SOC 2 SOC 3 |
SOC2-25: Gestione dei rischi dei fornitori C5-2: Revisione del profilo di rischio dei fornitori |
20 maggio 2024 |
Microsoft 365
Controlli esterni | Sezione | Data report più recente |
---|---|---|
FedRAMP | CA-3: Interconnessioni di sistema IA-4: Gestione degli identificatori PS-6: Contratti di accesso PS-7: Sicurezza del personale di terze parti SA-4: Processo di acquisizione SA-9: Servizi del sistema informativo esterno SA-12: Protezione della supply chain |
21 agosto 2024 |
ISO 27001/27017 Dichiarazione di applicabilità Certificazione (27001) Certificazione (27017) |
A.15.1: Sicurezza delle informazioni nelle relazioni con i fornitori | Marzo 2024 |
ISO 27018 Dichiarazione di applicabilità Certificato |
A.8.1: Divulgazione dell'elaborazione di informazioni personali in conto lavoro | Marzo 2024 |
SOC 2 | CA-53: Monitoraggio di terze parti | 23 gennaio 2024 |